v10.12 (build: Mar 4 2024)

Синхронизация с Active Directory

Синхронизация предназначена для автоматического поддержания всех данных сотрудников и компании, сохраняемых в настройках комплекса, в актуальном состоянии. Все сделано таким образом, чтобы администраторы не выполняли двойную работу при изменении данных в Active Directory - не будет необходимости изменять эти данные в настройках комплекса. Примеры: уволился или добавился сотрудник, изменилась структура компании, добавились подчиненные у начальников и т.д.
Настроив автоматическую синхронизацию один раз, администратору не нужно будет посещать вкладки настроек "Пользователи базы", "Структура компании", "Досье сотрудников" - синхронизатор все будет выполнять сам автоматически (получая данные из Active Directory и записывая их в базу настроек комплекса).

Важно:
- Синхронизация возможна только при использовании Microsoft SQL Server (без доп. настроек) или PostgreSQL (для синхронизации прав нужны доп. настройки).
- Настройки синхронизации, также как и саму синхронизацию, администратор может проводить со своей машины, которая входит или не входит в один из доменов компании.
- Если в компании несколько администраторов, то каждый может работать со своей машины.
- Вход в программу глобальных настроек может быть выполнен под администратором БД или же специально созданным пользователем через меню "Утилиты".
- Необходима учетная запись в домене, которая имеет права на чтение из Active Directory.
- Если в ходе синхронизации необходимо синхронизировать установки клиентских машин, то машина, с которой выполняется синхронизация, должна быть в домене, а также учетная запись в домене должна дополнительно иметь права на копирование файлов, запись в реестр и запуск служб на удаленных машинах домена.
- При удаленном доступе к контроллеру домена необходимо открыть на нем порт LDAP (обычно TCP 636 для защищенного LDAPS, или 389 для незащищенного соединения).
- В ходе синхронизации иерархии компании все изменения, сделанные ранее вручную в этом разделе, будут удалены!
- В ходе синхронизации прав доступа все логины из AD (не SQL-логины), добавленные ранее вручную в этом разделе, будут удалены!
- В ходе синхронизации досье сотрудников все добавленные ранее вручную в этом разделе, будут удалены!


Вкладка "Вход"

Если пользователь Windows, под которым осуществлен запуск программы глобальных настроек, не имеет в домене нужных прав для осуществления синхронизации, то можно указать параметры входа в домен на этой вкладке.


Вкладка "Домены"

Здесь указывается список доменов компании, с которыми необходимо производить синхронизацию.
Между доменами должно быть установлено доверие (Trust).
Контроллер домена не является обязательным для указания (обязателен только при удаленном доступе).
Сервер комплекса может быть один для всех доменов или разный (в случае использования нескольких серверов).


Вкладка "Объекты"

Здесь указываются группы, OU или одиночные компьютеры/пользователи для трех типов синхронизации:

1) Синхронизация клиентских установок - указываются группы/машины, на которые должен быть установлен клиент комплекса. Таким образом, в ходе синхронизации происходит установка клиентов на те машины, где клиент еще не установлен. Автоматическое удаление клиентов также возможно, однако управляется настройкой на вкладке настроек "Общие настройки" для компьютера. Там же находится и опция автоматического обновления клиентов.

2) Синхронизация выборочного наблюдения - указываются группы/пользователи, для которых будет выполняться выборочное наблюдение. Таким образом, вручную список пользователей на этой странице настроек заполнять будет не нужно. В ходе синхронизации список будет обновляться автоматически!

3) Синхронизация прав начальников - указываются группы/пользователи в одной из ролей (см. ниже).
Роли начальников:
"Супервизор" - данному начальнику доступны отчеты по всем сотрудникам компании (все домены).
"Суперпользователь" - доступны отчеты только по сотрудникам своего домена.
"Пользователь" - настраиваемые вручную права. После синхронизации на вкладке настроек "Пользователи базы" необходимо самостоятельно выбрать отделы или сотрудников, за которыми будет наблюдать данный начальник.
"Начальник" - доступны отчеты по себе самому и своим подчиненным. Что это означает? Если для каких-то сотрудников в AD установлен "Manager" (начальник), то у этого начальника появится поле directReports, которое и будет использоваться для создания прав доступа. Т.е. данный начальник сможет наблюдать только за самим собой, своими подчиненными и подчиненными своих подчиненных (и т.д. рекурсивно по иерархии подчинения вниз).
Иногда бывает удобно проводить синхронизацию роли "Начальник" с обратной логикой поиска, т.е. не указывать конкретных начальников, а искать их проходом среди всех пользователей домена анализируя определенный атрибут AD (обычно manager) каждого сотрудника (т.е. от сотрудника к его начальнику). В таком случае нужно выбрать тип "Атрибут AD для роли "Начальник"" и указать нужный атрибут AD (обычно manager). Если в структуре AD может быть несколько начальников для сотрудника, то необходимо добавить каждый атрибут как отдельный объект.
Приоритеты ролей: если один начальник входит сразу в несколько ролей, то для решения данного конфликта приоритеты расставлены в вышеописанном порядке.
В ходе синхронизации происходит заполнение данных на вкладке "Пользователи базы".

Внимание! Стандартные группы "Компьютеры домена" и "Пользователи домена" использовать нельзя! Вместо этого нужно указывать сам домен в таком же формате (DC=...,DC=...).


Вкладка "Профили"

Аналогично предыдущей вкладке "Объекты", но только указываются группы, OU или одиночные компьютеры/пользователи для сопоставления их с профилями клиентских настроек. См. раздел "Группы" в настройках комплекса.
Данная вкладка служит для того, чтобы не заполнять вручную раздел "Группы" в настройках комплекса, а синхронизировать с Active Directory.
Важно! Если пользователь входит в две и более групп, которые выбраны здесь и для которых установлены разные профили настроек, то конечная выборка профиля настроек для этого пользователя будет непредсказуемой!
См. также опцию удаления перед синхронизацией на вкладке "Настройки"!


Вкладка "Отделы"

В больших компаниях может быть необходимо выполнять синхронизацию только лишь с выбранными отделами/подразделениями в AD, а не со всей иерархией. В таком случае необходимо выбрать нужные контейнеры AD на этой вкладке (выбранный отдел автоматически включит все отделы нижнего уровня!). Если же данный список пуст, то синхронизация будет производиться полностью по всей иерархии домена(ов).


Вкладка "Клиентские машины"

Здесь можно посмотреть список машин, на которые уже установлен клиент и тех машин, на которые должен быть установлен клиент, но еще не установлен.
Существует возможность вручную выбрать и установить клиентов на машины.
Удаленная установка осуществляется этим способом.


Вкладка "Настройки"

Здесь настраиваются параметры синхронизации:
"Игнорировать отключенные учетные записи" - если учетная запись компьютера или пользователя AD отключена, то обрабатываться синхронизатором не будет.
"Пинговать машины перед установкой клиента" - рекомендуется для ускорения процесса установки (для выключенных машин).
"Таймаут пинга" - время в мсек ожидания ответа от клиентской машины. Если в логах частые ошибки 11010 при включенных машинах, то имеет смысл увеличить данное значение.
"Название компании" - используется при синхронизации иерархии как верхний ее уровень.
"Строить иерархию на базе групп" - игнорировать реальное расположение компьютеров/пользователей в иерархии Active Directory и вместо этого строить иерархию используя группы, в которых находятся компьютеры/пользователи.
"Опции синхронизации досье" - указывайте названия атрибутов AD для синхронизации досье.
"Базовые права по умолчанию для ролей при синхронизации прав" - опционально можно установить базовые права по умолчанию при синхронизации прав для той или иной роли. Для этого создайте пользователя базы с SQL-логином (не Windows-логином!) на вкладке "Пользователи базы" и установите нужные вам его базовые права, далее выберите или впишите его логин в соотв. поле для нужной роли на этой странице. Важно заметить, что данные права будут присвоены пользователю БД при первом его создании в ходе синхронизации, но не последующих его обновлениях (если он уже был создан) в следующих циклах синхронизации!
"Удалять перед синхронизацией" (для профилей клиентских настроек) - по умолчанию перед синхронизацией профилей клиентских настроек все уже установленные в базе сопоставления пользователь-профиль и компьютер-профиль удаляются и далее проводится синхронизация с добавлением. При таком сценарии установленные вручную сопоставления для машин и пользователей, не входящих в домен (как пример) будут удаляться всякий раз после синхронизации с доменом. Для решения проблемы укажите через запятую маски для пользователей/компьютеров, которые должны быть удалены перед синхронизацией. Например, вы желаете обновлять при синхронизации только сопоставления для пользователей/компьютеров домена COMPANY, а все остальные собираетесь настраивать вручную, в таком случае в строке нужно указать: *.COMPANY,COMPANY\* (для компьютера используется формат ИМЯ.ДОМЕН, а для пользователя ДОМЕН\ИМЯ).
"Настройки очистки лога" - очистка лога также происходит в ходе синхронизации.


Вкладка "Синхронизация"

Можно выполнить синхронизацию вручную (будет создан новый консольный процесс) или же добавить задание в планировщик заданий Windows для автоматической синхронизации по расписанию.
Важно: задание в планировщике должно выполняться от имени текущего пользователя Windows!


Вкладка "Лог"

Здесь можно смотреть результаты работы как ручной, так и автоматической синхронизации, а также отслеживать изменения настроек.


Какие параметры не синхронизируются и меняются вручную

После успешной синхронизации можно менять вручную следующие параметры, которые не подлежат синхронизации:
- На вкладке "Пользователи базы" все пользователи с логинами SQL (не логины Windows).
- На вкладке "Пользователи базы" для пользователей с логинами Windows "Базовые права".
- На вкладке "Пользователи базы" для пользователей с логинами Windows "Доп. запреты" для роли "Пользователь".
- На вкладке "Досье сотрудников" все досье пользователей, не входящих в состав домена(ов).
- На вкладке "Досье сотрудников" параметр "Профиль".


Как настроить автоматическую отправку отчетов начальникам/сотрудникам

После успешной синхронизации можно вручную настроить права начальникам на отправку отчетов (вкладка "Пользователи базы") если в этом есть необходимость.
Далее эти начальники хотя бы один раз должны зайти в свой "Личный кабинет" (через веб-интерфейс БОСС) и включить там авто-генерацию отчетов.
Чтобы сотрудники могли получать отчеты на свои e-mail о своих же действиях необходимо указание их e-mail в карточке AD, а также включение соотв. разрешения в правах их начальника (лучше это разрешение включить у начальника верхнего уровня иерархии подчинения, а не у множества нижестоящих начальников).
Опции генерации отчетов должны быть настроены в серверных настройках (разделы "Генератор отчетов").

© СТАХАНОВЕЦ